Mali Kuruluşlar Üzerindeki Tehdit: GodRAT Trojanı
Günümüzde siber güvenlik tehditleri her geçen gün artmaktadır. Finansal kurumlar, ticaret firmaları ve aracılık hizmetleri, bu tehditlerin başında gelen hedeflerdir. Son dönemde, Kaspersky tarafından yapılan araştırmalara göre, daha önce bildirilmemiş olan bir uzaktan erişim trojanı olan GodRAT ile ilgili yeni bir kampanya başlamıştır. Uzmanlar, bu kötü amaçlı yazılımın, finansal belgeler olarak gizlenmiş .SCR (ekran koruyucu) dosyalarının Skype üzerinden dağıtımını içeren kötü niyetli faaliyetleri içerdiğini belirtmektedir.
- Mali Kuruluşlar Üzerindeki Tehdit: GodRAT Trojanı
- Saldırı Yöntemleri ve Steganografi Kullanımı
- GodRAT ve Gh0st RAT Arasındaki Bağlantı
- Küçük Dosyaların Büyük Tehdidi: Ekran Koruyucular
- GodRAT’ın İşlevleri ve Sonuçları
- Dosya Yönetimi ve Diğer Tehditler
- Kaspersky’nin Bulduğu GodRAT Kodu
- Eski Kötü Amaçlı Yazılımlar ve Gelecekteki Tehditler
Saldırı Yöntemleri ve Steganografi Kullanımı
GodRAT trojanı, steganografi tekniklerini kullanarak görüntü dosyaları içinde gizli kodlar bulundurmaktadır. Bu kodlar, kötü amaçlı yazılımın bir komut ve kontrol (C2) sunucusundan indirilmesi için gereken işlemleri gerçekleştirmektedir. Araştırmalar, bu tür saldırıların 9 Eylül 2024 tarihinden bu yana aktif olduğunu ve Hong Kong, Birleşik Arap Emirlikleri, Lübnan, Malaya ve Ürdün gibi çeşitli bölgeleri hedef aldığını ortaya koymaktadır.
GodRAT ve Gh0st RAT Arasındaki Bağlantı
Kaspersky uzmanları, GodRAT’ın Gh0st RAT tabanlı bir evrim olduğunu belirtmektedir. Gh0st RAT, kaynak kodu 2008 yılında sızdırılan eski bir trojan iken, GodRAT bu kodu bir üst seviyeye taşıyarak plugin tabanlı bir yaklaşımla işlevselliğini artırmaktadır. Daha önce AwesomePuppet adıyla bilinen bir backdoor ile ilişkilendirilmiş olan GodRAT, Winnti gibi ünlü Çinli siber tehdit aktörleri tarafından kullanıldığı değerlendirilmektedir.
Küçük Dosyaların Büyük Tehdidi: Ekran Koruyucular
GodRAT, ekran koruyucu dosyası olarak kendini gösterecek şekilde hazırlanan self-extracting executable (kendiliğinden açılan yürütülebilir) dosyalar şeklinde dağıtılmaktadır. Bu dosyalar, meşru bir çalıştırılabilir dosya tarafından yüklenecek olan kötü amaçlı bir DLL içerir. Bu DLL, .JPG uzantılı bir görüntü dosyası içinde gizlenmiş olan kodu çıkararak GodRAT’ın yüklenmesini sağlar.
GodRAT’ın İşlevleri ve Sonuçları
Trojan, C2 sunucusu ile TCP üzerinden iletişim kurarak sistem bilgilerini toplamakta ve kurulu olan antivirüs yazılımlarının listesini çekmektedir. Toplanan veriler, C2 sunucusuna iletilir ve ardından sunucu, aşağıdaki işlemleri gerçekleştirmek için talimatlar gönderir:
- Alınan plugin DLL dosyasını belleğe enjekte eder.
- Socket bağlantısını kapatır ve RAT sürecini sonlandırır.
- Verilen bir URL’den dosya indirir ve CreateProcessA API kullanarak çalıştırır.
- İnternet Explorer’ı açacak şekilde bir URL’yi çalıştırır.
Dosya Yönetimi ve Diğer Tehditler
GodRAT’ın indirdiği eklentilerden biri, dosya sistemi üzerinde işlem yapabilen bir FileManager DLL‘dir. Bu eklenti, dosya işlemleri yapabilir, klasörleri açabilir ve belirli bir konumda dosyaları arayabilir. Ayrıca, Google Chrome ve Microsoft Edge tarayıcıları için şifre çalan bir yazılım ve AsyncRAT trojanı gibi ek yükler göndermek için de kullanılmaktadır.
Kaspersky’nin Bulduğu GodRAT Kodu
Kaspersky, GodRAT istemcisi ve yapıcısının tam kaynağını VirusTotal çevrimiçi kötü amaçlı yazılım tarayıcısına kaydedildiğini bildirmiştir. Bu yapılandırıcı, kullanıcıların meşru bir ikili dosya seçmesine ve kötü amaçlı kodu bu dosyaya enjekte etmesine olanak sağlamaktadır. Çeşitli dosya türleriyle kaydedilebilen sonuç dosyaları arasında .exe, .com, .bat, .scr ve .pif bulunur.
Eski Kötü Amaçlı Yazılımlar ve Gelecekteki Tehditler
Kaspersky, Gh0st RAT gibi eski kod tabanlarının hala günümüzde kullanıldığını vurgulamaktadır. Bu tür eski implantların çeşitli tehdit aktörleri tarafından uzun süre boyunca kullanıldığını görmekteyiz. GodRAT keşfi, bu eski kod tabanlarının siber güvenlik alanında hâlâ uzun bir ömre sahip olabileceğinin bir göstergesidir.
Siber güvenlik tehditleri karşısında dikkatli olmak ve gerekli tedbirleri almak, bu tür kötü amaçlı yazılımların etkisiz hale getirilmesi için kritik önem taşımaktadır. Kullanıcılar, güncellenmiş bir antivirüs yazılımı kullanarak ve bilinçli davranarak bu tür tehditlerden korunabilir. Cybersecurity alanındaki gelişmelerin takip edilmesi, kullanıcıları bilinçlendirerek siber tehditlere karşı daha etkili bir savunma sağlamak açısından önemlidir.
